Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

Страхование ответственности [от] действий CISO

Страхование ответственности [от] действий CISO

В прошлой заметке я писал про то, что на Западе очень активно стала продвигаться тема со страхованием ответственности за действия CISO в двух формах:

  • Страхование ответственности директоров и должностных лиц (Directors & Officers Liability, D&O). Этот вид страхования защищает директоров и должностных лиц компании от личной ответственности за решения и действия, принятые ими в ходе выполнения своих обязанностей. Оно покрывает юридические издержки и убытки, возникающие из-за претензий, связанных с предполагаемыми неправомерными действиями, совершенными ими в рамках их управленческих функций.
  • Страхование профессиональной деятельности (Errors & Omissions, E&O). Это вид страхования защищает профессионалов и компании от претензий, связанных с ошибками, упущениями или небрежностью в предоставлении профессиональных услуг. Оно покрывает юридические издержки и убытки, возникающие из-за претензий клиентов и других третьих лиц, связанных с качеством предоставленных услуг.

Согласно отчету «2023 Global Chief Information Security (CISO) Survey” от Heidrick & Struggles, 38% американских CISO не покрыты D&O страховкой своих компаний, а еще 18% не знают, покрыты ли они!

В кейсе с Джо Салливаном, CSO Uber, который скрыл факт несанкционированного доступа к персональным данным и позже это действие провел как участие в Bug Bounty, сработала бы страховка D&O, так как она покрывает в случае с CISO:

  • Неправомерные действия, халатность, ошибки в управлении деятельностью по ИБ.
  • Претензии акционеров, сотрудников, клиентов и других третьих лиц к CISO.
  • Нарушения со стороны CISO корпоративных регламентов и политик.

Эта же страховка помогла бы Тимоти Брауну, CISO SolarWinds, который был обвинен Комиссией по ценным бумагам США за сокрытие от инвесторов факта о низкой защищенности компании, или Амиту Бхардваджу, CISO Lumentum Holdings, которого та же Комиссия обвинила в незаконной торговле акциями перед объявлением о двух сделках по поглощению и слиянию. Иными словами, эта страховка покрывает следующие варианты претензий:

  • Иски акционеров за неверное управление или введение в заблуждение (кейс Брауна).
  • Претензии работников о дискриминации или неправомерном увольнении.
  • Претензии регуляторов о нарушении законодательства (кейс Бхарваджа).

E&O-страхование имеет схожую природу, но есть и отличия. Во-первых, оно распространяется не на директоров, а на профессионалов, работающих в компании (например, не CISO, а ведущих специалистов). Кроме того, это страхование хорошо подойдет для ИБ-компаний, оказывающих услуги своим клиентам. Соответственно эта страховка покрывает ошибки, упущения, халатность в профессиональных услугах и неправильное выполнение своих служебных обязанностей, за которыми последовали иски со стороны клиентов, а не акционеров или государства, как в случае со страхованием D&O. Примерами исков со стороны клиентов могут быть:

  • Претензии клиентов о недостаточно качественном выполнении работ или услуг по ИБ.
  • Ошибки в расчетах, проектировании, консультациях и других профессиональных ИБ-услугах.
  • Претензии за неисполнение контрактных обязательств.

D&O-страхование фокусируется на защите руководителей разного уровня от претензий, связанных с их управленческими решениями и действиями, тогда как E&O-страхование направлено на защиту профессионалов и компаний от претензий, связанных с качеством предоставленных ими услуг.

Обе эти страховки предлагаются и в России, но в условиях отсутствия претензий у нас к руководителям ИБ (исключая кейс с «Сиреной-Трэвел«), это не является достаточно стимулом по активному развитию этого сегмента рынка. В США, по недавно введенным правилам Комиссии по ценным бумагам, именно CISO может понести ответственность за инциденты ИБ и возмещать ущерб и судебные издержки из своего кармана. Без D&O-страховки это будет тяжким бременем для него и его семьи. В России этого нет. А вот как демонстрация приверженности компании защите своих руководителей — это вполне может быть дополнительной причиной выбора компании для высококвалифицированных ИБ-кадров.

В том случае если CISO оказывает консалтинговые услуги другим компаниям (у нас такое бывает нередко), то ему может помочь личная E&O-страховка. Если, конечно, он опасается, что к результатам его работы могут быть претензии, которые закончатся иском со стороны клиента. Хотя я таких случаев у нас в стране не знаю.

В качестве резюме могу отметить, что тема со страхованием ответственности CISO нова даже на Западе, но может быть со временем положительно воспринята и у нас. Тем более, что такой страховой продукт у нас уже есть, только пока он не распространялся на руководителей ИБ, которые, надо признать, и на уровне топ-менеджмента пока не так чтобы активно встречаются.

Заметка Страхование ответственности [от] действий CISO была впервые опубликована на Бизнес без опасности.

Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.
310K
долларов
до 18 лет
Антипов жжет
Ребёнок как убыточный
актив. Считаем честно.
Почему рожают меньше те, кто умеет считать на десять лет вперёд.

article-title

Алексей Лукацкий

FREE
100%
Кибербезопасность · Обучение
УЧИСЬ!
ИЛИ
ВЗЛОМАЮТ
Лучшие ИБ-мероприятия
и вебинары — в одном месте
ПОДПИШИСЬ
T.ME/SECWEBINARS